Tim Riset dan Analisis Global (GReAT) dari Kaspersky telah menemukan trojan perbankan canggih baru yang disebut ‘Coyote’, yang menggunakan taktik mutakhir untuk mencuri informasi keuangan sensitif. Coyote terutama menargetkan pengguna yang terhubung dengan lebih dari 60 lembaga perbankan di Brasil.
Metode distribusi yang digunakan adalah installer Squirrel, sebuah pendekatan yang jarang digunakan untuk penyebaran malware. Para peneliti Kaspersky telah mengidentifikasi seluruh proses infeksi yang dilakukan oleh Coyote.
Berbeda dengan trojan biasa, Coyote menggunakan alat Squirrel yang relatif baru sebagai installer untuk memasang dan memperbarui aplikasi desktop Windows. Hal ini memungkinkan Coyote untuk menyembunyikan dengan berpura-pura sebagai paket pembaruan biasa.
Menurut data telemetri Kaspersky, sekitar 90% infeksi Coyote terjadi di Brasil, sehingga berdampak besar pada keamanan siber finansial di wilayah tersebut. Fabio Assolini, kepala Tim Riset dan Analisis Global Amerika Latin (GReAT) di Kaspersky mengingatkan bahwa serangan trojan perbankan telah meningkat hampir dua kali lipat dalam tiga tahun terakhir, mencapai lebih dari 18 juta pada tahun 2023.
“Hal ini menunjukkan bahwa tantangan keamanan online semakin meningkat. Saat kita menghadapi meningkatnya jumlah ancaman dunia maya, sangatlah penting bagi masyarakat dan bisnis untuk melindungi aset digital mereka. Munculnya Coyote, jenis baru Trojan perbankan Brasil, mengingatkan kita untuk berhati-hati dan menggunakan pertahanan terbaru untuk menjaga keamanan informasi penting kita,” kata Assolini dalam siaran pers, Senin (12/2/2024).
BACA JUGA: Waspada Trojan Baru, Korban Tembus 620.000 dalam Setahun
Keunggulan Coyote terletak pada penggunaan bahasa pemrograman modern lintas platform yang disebut Nim sebagai pemuat untuk tahap akhir infeksi. Hal ini sejalan dengan tren yang diamati oleh Kaspersky, yang mana penjahat siber makin menggunakan bahasa yang kurang populer dan bersifat lintas platform.
Proses infeksi Coyote melibatkan aplikasi NodeJS untuk mengeksekusi kode JavaScript kompleks, pemuat Nim untuk membongkar file .NET yang dapat dieksekusi, dan eksekusi trojan. Meskipun Coyote tidak menggunakan obfuscation pada kode, ia menggunakan string obfuscation dengan enkripsi AES untuk meningkatkan kerahasiaan.
BACA JUGA: Biasa Belanja Online, Waspadai Trojan Shopper Ini
Trojan ini bertujuan untuk memantau aplikasi atau situs web perbankan tertentu untuk mendapatkan akses. Setelah aplikasi perbankan aktif, Coyote berkomunikasi dengan server perintah dan kontrolnya melalui saluran SSL dengan autentikasi bersama.
Komunikasi terenkripsi ini, bersama dengan kemampuannya untuk melakukan tindakan, seperti keylogging dan mengambil tangkapan layar, menunjukkan tingkat kecanggihan Coyote. Bahkan, ia dapat meminta kata sandi kartu bank tertentu dan membuat halaman palsu untuk memperoleh kredensial pengguna.
Editor: Ranto Rajagukguk